Privileged Access Management를 위한 역할 정의
Privileged Access Management를 사용하면 Just-In-Time 액세스의 필요에 따라 활성화할 수 있는 권한 있는 역할에 사용자를 할당할 수 있습니다. 이러한 역할은 배스천 환경에서 수동으로 정의하고 설정합니다. 이 문서에서는 PAM을 통해 관리 역할을 결정하는 과정과 적절한 사용 권한 및 제한을 사용하여 정의하는 방법을 안내합니다.
중요
이 문서의 모델은 MIM PAM을 사용하는 격리된 Active Directory 환경에만 사용됩니다. 하이브리드 환경의 경우 엔터프라이즈 액세스 모델의 지침을 참조하세요.
Privileged Access Management를 위해 역할을 정의하는 간단한 접근 방식은 스프레드시트에 있는 모든 정보를 컴파일하는 것입니다. 역할에 역할을 나열하고 열을 사용하여 거버넌스 요구 사항 및 사용 권한을 식별합니다.
거버넌스 요구 사항은 기존 ID 및 액세스 정책 또는 규정 준수 요구 사항에 따라 달라집니다. 각 역할에 대해 식별하는 매개 변수는 다음과 같습니다.
- 역할의 소유자입니다.
- 해당 역할에 속할 수 있는 후보 사용자
- 해당 역할의 사용과 연결되어야 하는 인증, 승인 또는 알림 컨트롤입니다.
역할 사용 권한은 관리되는 애플리케이션에 따라 달라집니다. 이 문서에서는 Active Directory를 예제 애플리케이션으로 사용하고 사용 권한을 다음 두 가지 범주로 나눕니다.
Active Directory 서비스 자체를 관리하는 데 필요한 권한(예: 복제 토폴로지 구성)
Active Directory에 저장된 데이터를 관리하는 데 필요한 권한(예: 사용자 및 그룹 만들기)
역할 식별
PAM을 사용하여 관리하려는 모든 역할을 식별하는 작업부터 시작합니다. 각 잠재적인 역할은 스프레드시트에서 자체 행을 갖게 됩니다.
적절한 역할을 찾으려면 관리의 범위에서 각 애플리케이션을 고려합니다.
- 애플리케이션이 계층 0, 계층 1 또는 계층 2에 있나요?
- 애플리케이션의 기밀성, 무결성 또는 가용성에 영향을 주는 권한은 무엇인가요?
- 애플리케이션에 시스템의 다른 구성 요소에 대한 종속성이 있나요? 예를 들어 데이터베이스, 네트워킹, 보안 인프라, 가상화 또는 호스팅 플랫폼에 대한 종속성이 있나요?
이러한 앱 고려 사항을 그룹화하는 방법을 결정합니다. 역할에 대해 경계를 명확히 하고 앱 내에서 일반적인 관리 작업을 완료하는 데 충분한 사용 권한만 부여하려고 합니다.
항상 최소 권한을 할당하도록 역할을 디자인하려고 합니다. 이러한 권한은 사용자의 현재(또는 계획된) 조직 책임을 기반으로 할당될 수 있으며 사용자의 업무에 필요한 권한을 포함합니다. 위험을 발생하지 않으면서 작업을 단순화하는 권한도 포함될 수 있습니다.
역할을 포함할 사용 권한의 범위를 지정할 때 다음과 같은 사항도 고려해야 합니다.
특정 역할에 따라 업무를 진행하는 개인의 수 두 명 이상이 아니면 너무 구체적인 정의가 유용하지 않을 수 있거나 또는 특정 사용자의 책임을 정의했습니다.
한 명의 사람이 맡는 역할 수 사용자가 자신의 작업에 대해 올바른 역할을 선택할 수 있나요?
사용자 인구 및 이러한 사용자가 애플리케이션 상호 작용하는 방법이 권한 있는 액세스 관리와 호환되나요?
관리 역할의 사용자가 해당 작업의 감사 레코드를 지울 수 없도록 관리와 감사를 구분할 수 있나요?
역할 거버넌스 요구 사항 설정
후보 역할을 확인할 경우 먼저 스프레드시트를 채웁니다. 조직과 관련된 요구 사항을 위한 열을 만듭니다. 고려해야 할 일부 요구 사항은 다음과 같습니다.
역할에 대해 역할의 추가 정의, 사용 권한 선택 및 거버넌스 설정 유지 관리를 담당하는 역할 소유자는 누구인가요?
역할 업무 또는 작업을 수행하는 역할 소유자(사용자)는 누구인가요?
역할 소유자에게 적절한 액세스 방법(다음 섹션에서 설명)은 어느 것인가요?
사용자가 자신의 역할을 활성화할 때 역할 소유자의 수동 승인이 필요한가요?
사용자가 자신의 역할을 활성화할 때 알림이 필요한가요?
추적을 위해 이 역할이 사용될 때 SIEM 시스템에서 경고나 알림이 생성되어야 하나요?
역할 업무를 수행하기 위해 액세스 권한이 필요하고 권한/자격 증명이 잘못 사용되지 않도록 보호할 수 있는 호스트의 충분한 확인 절차가 있는 경우 역할을 활성화하는 사용자가 컴퓨터에 로그온할 수만 있도록 제한해야 할 필요가 있나요?
역할 소유자에게 전용 관리자 워크스테이션을 제공해야 할 필요가 있나요?
이 역할에 어떤 애플리케이션 사용 권한(아래 AD에 대한 예제 목록 참조)이 연결되어 있나요?
액세스 방법 선택
할당된 동일한 권한이 있는 권한 있는 액세스 관리 시스템에 여러 역할이 있을 수 있습니다. 다양한 커뮤니티의 사용자에 별도 액세스 거버넌스 요구 사항이 있는 경우 발생할 수 있습니다. 예를 들어 조직은 정규직 직원에게 아웃소싱된 다른 조직의 IT 직원과는 다른 정책을 적용할 수 있습니다.
경우에 따라 사용자는 역할에 영구적으로 할당될 수 있습니다. 이 경우 역할 할당을 요청하거나 활성화할 필요가 없습니다. 영구 할당 시나리오의 예제에는 다음이 포함됩니다.
기존 포리스트의 관리 서비스 계정
PAM 외부에서 관리되는 자격 증명이 있는 기존 포리스트의 사용자 계정 이는 "비상" 계정일 수 있습니다. 비상 계정은 트러스트 및 DC 상태 문제를 해결하기 위해 "도메인 / DC 유지 관리"와 같은 역할이 필요할 수 있습니다. 비상 계정으로 물리적으로 보안된 암호를 사용하여 영구적으로 할당된 역할을 갖게 됩니다.
암호로 인증하는 관리 포리스트의 사용자 계정입니다. 이는 영구적으로 연중 무휴 관리 권한이 필요하고 강력한 인증을 지원할 수 없는 디바이스에서 로그온하는 사용자일 수 있습니다.
스마트 카드 또는 가상 스마트 카드가 있는 관리 포리스트의 사용자 계정(예: 드문 유지 관리 작업에 필요한 오프라인 스마트 카드가 있는 계정)
Active Directory 사용 권한 위임
Windows Server는 새 도메인이 만들어지면 "Domain Admins"와 같은 기본 그룹을 자동으로 만듭니다. 이러한 그룹은 시작을 간소화하며 소규모 조직에 적합할 수 있습니다. 대규모 조직 또는 관리 권한의 추가적인 분리를 요구하는 조직은 해당 그룹을 빈 상태로 유지하고 보다 세분화된 사용 권한을 제공하는 그룹으로 대체해야 합니다.
Domain Admins 그룹의 한 제한은 외부 도메인의 구성원을 포함할 수 없다는 것입니다. 또 다른 제한은 다음 세 가지 별도 기능에 대해 사용 권한을 부여하는 것입니다.
- Active Directory 서비스 자체 관리
- Active Directory에 저장된 데이터 관리
- 도메인 연결 컴퓨터에 대해 원격 로그온 사용
Domain Admins와 같은 기본 그룹 대신 필요한 권한만 제공하는 새 보안 그룹을 만듭니다. 그런 다음 MIM을 사용하여 해당 그룹 멤버 자격으로 관리자 계정을 동적으로 제공해야 합니다.
서비스 관리 권한
다음 표에는 AD를 관리하기 위한 역할에 포함될 수 있는 권한 예제가 나와 있습니다.
| 역할 | 설명 |
|---|---|
| 도메인/DC 유지 관리 | Domain\Administrators 그룹의 구성원을 통해 문제를 해결하고 도메인 컨트롤러 운영 체제를 변경할 수 있습니다. 새 도메인 컨트롤러를 포리스트 및 AD 역할 위임의 기존 도메인으로 승격하는 것과 같은 작업입니다. |
| 가상 DC 관리 | 가상화 관리 소프트웨어를 사용하여 DC(도메인 컨트롤러) VM(가상 컴퓨터)을 관리합니다. 이 권한은 관리 도구에서 또는 RBAC(역할 기반 액세스 제어) 기능을 사용하여 모든 가상 컴퓨터의 모든 권한을 통해 부여할 수 있습니다. |
| 스키마 확장 | 스키마 관리(새 개체 정의 추가, 스키마 개체에 대한 권한 변경 및 개체 형식에 대한 스키마 기본 권한 변경 포함) |
| Active Directory 데이터베이스 백업 | DC 및 도메인에 위임된 모든 암호를 포함하는 Active Directory 데이터베이스의 전체 백업 복사본을 만듭니다. |
| 트러스트 및 기능 수준 관리 | 외부 도메인 및 포리스트와의 트러스트를 만들고 삭제합니다. |
| 사이트, 서브넷 및 복제 관리 | Active Directory 복제 토폴로지 개체 관리(사이트, 서브넷 및 사이트 링크 개체 수정 포함) 및 복제 작업 시작 |
| GPO 관리 | 도메인 전체에서 그룹 정책 개체 만들기, 삭제, 수정 |
| 영역 관리 | Active Directory에서 DNS 영역 및 개체 만들기, 삭제, 수정 |
| 계층 0 OU 수정 | Active Directory에서 계층 0 OU 및 포함된 개체 수정 |
데이터 관리 사용 권한
다음 표에는 AD에 포함된 데이터를 관리 및 사용하기 위해 역할에 포함될 수 있는 권한 예제가 나와 있습니다.
| 역할 | 설명 |
|---|---|
| 계층 1 관리 OU 수정 | Active Directory에서 계층 1 관리 개체를 포함하는 OU 수정 |
| 계층 2 관리 OU 수정 | Active Directory에서 계층 2 관리 개체를 포함하는 OU 수정 |
| 계정 관리: 만들기/삭제/이동 | 표준 사용자 계정 수정 |
| 계정 관리: 잠금 해제 다시 설정 | 암호 다시 설정 및 계정 잠금 해제 |
| 보안 그룹: 만들기/수정 | Active Directory의 보안 그룹 만들기 및 수정 |
| 보안 그룹: 삭제 | Active Directory에서 보안 그룹 삭제 |
| GPO 관리 | 계층 0 서버에 영향을 주지 않는 도메인/포리스트의 모든 GPO 관리 |
| PC/로컬 관리자 연결 | 모든 워크스테이션에 로컬 관리자 권한 |
| Srv/로컬 관리자 연결 | 모든 서버에 대한 로컬 관리자 권한 |
예제 역할 정의
역할 정의 선택은 관리되는 서버 계층에 따라 달라집니다. 관리되는 애플리케이션 중 어떤 프로그램을 선택했는지에 따라서도 달라집니다. Exchange와 같은 애플리케이션이나 타사 엔터프라이즈 제품(예: SAP)은 위임된 관리를 위해 자신의 추가 역할 정의도 가져옵니다.
다음 섹션에서는 일반적인 엔터프라이즈 시나리오에 대한 예제를 제공합니다.
계층 0 - 관리 포리스트
배스천 환경의 계정에 적합한 역할에는 다음이 포함될 수 있습니다.
- 관리 포리스트에 대한 비상 액세스
- "Red Card" 관리자: 관리 포리스트의 관리자 사용자
- 프로덕션 포리스트의 관리자 사용자
- 프로덕션 포리스트에 있는 애플리케이션에 대해 제한된 관리자 권한을 위임받은 사용자
계층 0 - 엔터프라이즈 프로덕션 포리스트
계층 0 프로덕션 포리스트 계정 및 리소스를 관리하는 데 적절한 역할에는 다음이 포함될 수 있습니다.
- 프로덕션 포리스트에 대한 비상 액세스
- 그룹 정책 관리자
- DNS 관리자
- PKI 관리자
- AD 토폴로지 및 복제 관리자
- 계층 0 서버에 대한 가상화 관리자
- 스토리지 관리자
- 계층 0 서버에 대한 맬웨어 방지 관리자
- 계층 0 SCCM에 대한 SCCM 관리자
- 계층 0 Operations Manager에 대한 Operations Manager 관리자 System Center
- 계층 0에 대한 백업 관리자
- 계층 0 호스트에 연결된 대역 외 및 베이스보드 관리 컨트롤러(KVM 또는 정전 시 관리용)의 사용자
계층 1
계층 1의 서버 관리 및 백업에 대한 역할에는 다음이 포함될 수 있습니다.
- 서버 유지 관리
- 계층 1 서버에 대한 가상화 관리자
- 보안 검사자 계정
- 계층 1 서버에 대한 맬웨어 방지 프로그램 관리자
- 계층 1 SCCM에 대한 SCCM 관리자
- 계층 1 Operations Manager에 대한 Operations Manager 관리자 System Center
- 계층 1 서버에 대한 백업 관리자
- 계층 1 호스트에 대한 대역 외 및 베이스보드 관리 컨트롤러(KVM 또는 정전 시 관리용)의 사용자
또한 계층 1의 엔터프라이즈 애플리케이션을 관리하기 위한 역할에는 다음이 포함될 수 있습니다.
- DHCP 관리자
- Exchange 관리자
- 비즈니스용 Skype 관리자
- SharePoint 팜 관리자
- 클라우드 서비스의 관리자(예: 회사 웹 사이트 또는 공용 DNS)
- HCM, 재무 또는 법률 시스템 관리자
계층 2
관리자가 아닌 사용자 및 컴퓨터 관리에 대한 역할에는 다음이 포함될 수 있습니다.
- 계정 관리자
- 지원 센터
- 보안 그룹 관리자
- 워크스테이션 데스크사이드 지원